Consimțământul pe GDPR: Firmele trebuie să evite să ceară clienților să facă eforturi suplimentare pentru a refuza prelucrarea datelor

Am discutat mai multe lucruri despre cauza respectivă (C‑61/19, Orange România SA v. ANSPDCP) aici. Cauza viza mai multe aspecte, însă ce e important, aici, e că Orange România, atunci când semna contracte cu clienții, îi punea pe aceștia să semneze o declarație suplimentară dacă nu erau de acord cu prelucrarea de date. Cu alte cuvinte, aceștia trebuiau să facă eforturi suplimentare pentru a-și manifesta lipsa consimțământului la prelucrarea de date.

CJUE, însă, a considerat că acest lucru e contrar Regulamentului general privind protecția datelor (GDPR), pentru că nu i se poate impune persoanei vizate de eventuala prelucrare a datelor (în baza consimțământului acesteia) să aibă un comportament activ și explicit atunci când nu este de acord cu prelucrarea datelor în asemenea situații. 

„[C]aracterul liber al acestui consimțământ pare să fie repus în discuție de împrejurarea că, în ipoteza neexprimării acestuia, Orange România impunea, abătându‑se de la procedura normală care conduce la încheierea contractului, ca clientul vizat să declare în scris că nu consimțea nici la colectarea, nici la stocarea copiei actului său de identitate. (...) [O] asemenea cerință suplimentară este de natură să afecteze în mod nejustificat libera alegere de a se opune acestei colectări și acestei stocări”, a reținut CJUE (paragraful 50 al hotărârii). 

Într-adevăr, GDPR stabilește că oricine își dă consimțământul la prelucrarea datelor trebuie să o facă într-un mod activ și univoc. „Consimțământul ar trebui acordat printr-o acțiune neechivocă care să constituie o manifestare liber exprimată, specifică, în cunoștință de cauză și clară a acordului persoanei vizate pentru prelucrarea datelor sale cu caracter personal, ca de exemplu o declarație făcută în scris, inclusiv în format electronic, sau verbal”, este precizat în Regulament.

Însă Orange, în situația de mai sus, a întors aceste considerente și le-a aplicat situației inverse - aceea în care clientul refuză să își dea consimțământul la prelucrarea datelor. În acest caz, acțiunea de semnare a unei declarații în acest sens pare să sugereze, implicit, că lipsa acelei declarații ar presupune existența unui consimțământ la prelucrarea datelor. Acest lucru este contrar situației specificate de GDPR - cum spuneam și mai sus, persoana vizată de o posibilă prelucrare nu trebuie să facă eforturi active pentru a arăta că nu este de acord cu prelucrarea, ci doar dacă își manifestă consimțământul pentru prelucrare.